Varios millones de contenedores maliciosos «sin imagen» se encontraron en Docker Hub en los últimos cinco años. Investigadores de seguridad de JFrog revelaron que más de 4 millones de repositorios en Docker Hub no tienen imagen ni contenido, a excepción de documentación no relacionada con el contenedor. Esta documentación redirige a los usuarios a sitios de phishing o alojamiento de malware.
De los 4.79 millones de repositorios sin imagen, aproximadamente 3.2 millones se han utilizado como páginas de aterrizaje en tres amplias campañas. Una de ellas, llamada Downloader, redirige a los usuarios a sitios fraudulentos enmascarados como enlaces a contenido pirateado o trucos para videojuegos. Otra campaña, Phishing de libros electrónicos, engaña a los usuarios para que ingresen su información financiera bajo el pretexto de descargar libros electrónicos. La última, denominada Sitio web, contiene enlaces a un servicio de alojamiento de diarios en línea llamado Penzu en algunos casos.
La carga entregada en estas campañas se comunica con un servidor de comando y control (C2) para recopilar metadatos del sistema y, en algunos casos, descargar software crackeado. Los investigadores resaltan que la propagación de estas campañas es más amplia y que los usuarios tienen poca capacidad para protegerse, acentuando que los actores de amenazas se esconden detrás de la credibilidad de Docker Hub para atraer a las víctimas.
Es fundamental que los desarrolladores sean cautelosos al descargar paquetes de ecosistemas de código abierto. Los expertos en ciberseguridad advierten que estas campañas podrían expandirse a otros repositorios además de Docker Hub, enfatizando que los actores de amenazas explotarán cualquier oportunidad para difundir malware.
Vía The Hacker News